(5)未经授权的访问与计算机信息系统有关的最常见的安全风险之一是未经授权访问机密数据的危险。主要关注的问题是不需要的入侵者或黑客,内部用户的未授权访问也是一种重要的威胁。(6)恶意软件这种种安全威胁,其中包括不同类型的计算机病毒、特洛伊木马、蠕虫、逻辑炸弹和其他形式的“有害”软件。(7)对个人隐私的威胁随着互联网的发展,人们对个人隐私愈发注重,存储在不同数据库中的大量个人数据成为信息系统面临的主要问题。
根据上述对安全威胁的分类,建立如下图所示的模型用于不同类型的安全威胁分析。从技术层面,信息系统面临的主要安全威胁来自于物理环境、通信链路、网络系统、操作系统、应用系统以及管理等多个方面。物理环境所面临的安全威胁:是指导致数据丢失或损坏或对硬件和/或基础结构造成物理损坏的任何事物,分别三种情况:l 内部:威胁包括火灾,电源不稳定,硬件存放房间的湿度等。
l 外部:这些威胁包括闪电,洪水,地震等。l 人为:这些威胁包括盗窃,基础设施和/或硬件的破坏,破坏,意外或故意的错误。通信链路所面临的安全威胁:是指在信息系统中,数据(信息)的传输、处理过程中,对系统通信链路的攻击、窃听等信息机密性和完整性的威胁。网络系统所面临的安全威胁:在开放网络环境下,如何应对网络安全威胁,是现今最热门和最棘手的问题。
包括:病毒和蠕虫、僵尸网络、偷渡式下载攻击、网络钓鱼攻击、分布式拒绝服务(DDoS)攻击、勒索软件、漏洞利用工具甚至是国家级的高级持续威胁(APT)。操作系统所面临的安全威胁:是指针对基础软件底层系统的威胁,大多数攻击源于操作系统的固有弱点或漏洞。应用系统所面临的安全威胁:是指用户业务系统自身的漏洞和恶意行为。
管理所面临的安全威胁:是指使用信息系统的组织、单位在管理层面的安全管理和执行制度,正所谓“三分靠管理、七分靠技术”。信息系统安全标准本质上,标准是一组通用的规则,定义和商定的“规章”,所有各方都可以参考该标准以供共同参考。标准将是为了声称符合该标准而必须满足的一组最低要求,标准提供了一套通用的参考点,使我们能够评估组织是否已制定了符合议定的最低要求的流程,程序和其他控制措施。
针对信息系统面临的安全威胁,也有相关的安全标准。安全标准类似于任何其他行业中的标准。标准是“已发布的规范,建立了一种通用语言,并且包含技术规范或其他精确的标准,并且被设计为作为规则,准则或定义被一致地使用”。例如ISO 27000系列是供应商和技术中立的国际公认标准,它提供了一种基于风险的方法来保护其信息。
它为组织提供了独立的第三方验证,以证明其信息安全管理系统符合国际认可的标准。包括以下几个方面,涵盖了信息系统面临的安全威胁的所有方面:l 信息安全政策l 信息安全组织l 人力资源安全l 资产管理l 访问控制l 密码学l 物理和环境安全l 操作安全性l 通信安全l 系统获取、开发和维护的安全性要求l 供应商关系-供应商关系和供应商服务交付管理中的信息安全l 信息安全事件管理-信息安全事件的管理和改进l 业务连续性管理的信息安全方面-信息安全连续性和冗余l 合规性-符合法律和合同要求以及信息安全审查国际上还有IEC 62443系列、NIST框架等;国内有GB/T 36618-2018 《信息安全技术 金融信息服务安全规范》、GB/T 36627-2018 《信息安全技术 网络安全等级保护测试评估技术指南》、GB/T 36630《信息安全技术 信息技术产品安全可控评价指标》等标准。
写在最后信息安全的核心是信息保障,这意味着维护信息安全的行为,以确保在出现关键问题时不会以任何方式破坏信息。这些问题不仅限于自然灾害、计算机/服务器故障等。因此,近年来,信息安全领域已经显着增长和发展。它提供了许多专业领域,包括保护网络和相关基础设施,保护应用程序和数据库,安全测试,信息系统审核,业务连续性计划等。
信息安全威胁已经成为当今地球上个人和企业的最大威胁,并可能导致可预见的冲突和不确定性。因此,各种规模的组织都必须为晦涩难懂的事物做好准备,以便它们具有承受不可预见和高效的安全问题的适应性。威胁是可能故意或意外利用导致信息系统安全事件的漏洞的行为者或情况。不能否认,我们每个人,个人,组织或公司都受到威胁,并且可能容易受到威胁。
互联网金融面临的安全威胁来源于哪几个方面?
互联网的发展,给众多的传统领域带来了腾飞的翅膀,这当然也包括了金融领域,其带来的高效特征促进了金融行业的快速发展。当然任何事情都具有两面性,当金融系统全面拥抱互联网时,其安全性也越来越引发人们的关注。1、金融诈骗最近两年,P2P爆雷事件响彻全国各地,其以互联网金融创新的概念以及承诺高收益来诱使公众将个人资金集聚在其线上平台,一旦资金链断裂,则卷款潜逃,给金融系统的稳定性和安全性带来极大的破坏性。
据相关机构统计,近两年爆雷的P2P机构有近900家。2018年涉案金额高达万亿,影响用户超过1500万。2.黑客攻击银行系统。互联网金融的发展为黑客攻击银行金融系统提供了机会。据世界反黑客组织统计,每年中国金融机构因黑客攻击损失数百亿人民币,呈快速上升趋势。3.信息的泄露随着互联网金融的发展,很多互联网金融平台要求用户提供各种个人信息,同时个人信息的泄露也呈现高发态势。
